面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本實(shí)用新型涉及一種面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)。
【背景技術(shù)】
[0002]目前，工控系統(tǒng)的設(shè)備提供商以國(guó)外廠家居多，且工控網(wǎng)絡(luò)漏洞較多，很容易被黑客或惡意軟件利用，影響工控信息可用性，破壞工控系統(tǒng)安全。網(wǎng)絡(luò)隔離技術(shù)的應(yīng)用已經(jīng)廣泛滲透到電力行業(yè)，用于保護(hù)電力系統(tǒng)的信息安全。經(jīng)對(duì)其技術(shù)特點(diǎn)和性能進(jìn)行研宄，在其基礎(chǔ)上依據(jù)工控系統(tǒng)特點(diǎn)開(kāi)發(fā)工控協(xié)議及雙向通訊功能，即可滿足工控系統(tǒng)網(wǎng)絡(luò)隔離要求，保障工控系統(tǒng)信息安全。
【實(shí)用新型內(nèi)容】
[0003]本實(shí)用新型所要解決的技術(shù)問(wèn)題是:提供一種面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，實(shí)現(xiàn)主機(jī)與主機(jī)之間、主機(jī)與網(wǎng)絡(luò)之間、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的安全隔離，以保障工控系統(tǒng)信息安全。
[0004]本實(shí)用新型解決其技術(shù)問(wèn)題所采用的技術(shù)方案如下:
[0005]面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，其特征在于:它包括配置服務(wù)器、日志服務(wù)器和安全固件三部分；配置服務(wù)器通過(guò)串口線與安全固件相連接，日志服務(wù)器通過(guò)網(wǎng)線與安全固件相連接。
[0006]所述安全固件包括內(nèi)網(wǎng)主機(jī)板、外網(wǎng)主機(jī)板和雙端口數(shù)據(jù)通道，內(nèi)網(wǎng)主機(jī)板和外網(wǎng)主機(jī)板分別通過(guò)數(shù)據(jù)線與雙端口數(shù)據(jù)通道相連接；所述安全固件還包括后面板，該后面板上設(shè)置有A端以太網(wǎng)通訊口和B端以太網(wǎng)通訊口，并設(shè)置有串口 ；所述安全固件還包括前面板，該前面板上設(shè)置有A端以太網(wǎng)通訊口指示燈和B端以太網(wǎng)通訊口指示燈；所述的A端以太網(wǎng)通訊口通過(guò)數(shù)據(jù)線與內(nèi)網(wǎng)主機(jī)板相連接，B端以太網(wǎng)通訊口通過(guò)數(shù)據(jù)線與外網(wǎng)主機(jī)板相連接；所述的串口與配置服務(wù)器相連接。
[0007]所述的后面板上還設(shè)置有主電源開(kāi)關(guān)和備電源開(kāi)關(guān)。
[0008]所述的前面板上還設(shè)置有電源指示燈、雙電源指示蜂鳴器及運(yùn)行指示燈。
[0009]所述的A端以太網(wǎng)通訊口還與所述日志服務(wù)器相連接。
[0010]所述的雙端口數(shù)據(jù)通道上有一個(gè)用于模擬實(shí)現(xiàn)雙口 RAM功能的可編程器件。
[0011]本實(shí)用新型的積極效果在于:
[0012]本實(shí)用新型在包過(guò)濾的基礎(chǔ)上，通過(guò)特殊的硬件設(shè)備，并采用了隔離傳輸、數(shù)據(jù)分階段非網(wǎng)絡(luò)方式傳送等技術(shù)，實(shí)現(xiàn)了網(wǎng)絡(luò)的有效安全隔離。
[0013]本實(shí)用新型能夠?qū)崿F(xiàn)主機(jī)與主機(jī)之間、主機(jī)與網(wǎng)絡(luò)之間、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的隔離；能夠?qū)νㄓ嵭畔⑦M(jìn)行記錄；能夠?qū)Ξ惓Ｐ畔⑦M(jìn)行分析并產(chǎn)生必要告警信息。最終保障工控系統(tǒng)信息安全。
【附圖說(shuō)明】
[0014]圖1是本實(shí)用新型應(yīng)用環(huán)境的網(wǎng)絡(luò)拓?fù)鋱D。
[0015]圖2是本實(shí)用新型的安全固件的后面板正視圖。
[0016]圖3是本實(shí)用新型的安全固件的前面板正視圖。
[0017]圖4是本實(shí)用新型的安全固件的內(nèi)部結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0018]下面結(jié)合附圖和具體實(shí)例進(jìn)一步描述本實(shí)用新型。
[0019]如圖1，本實(shí)施例包括用于安裝策略參數(shù)配置軟件的配置服務(wù)器1、用于安裝日志服務(wù)軟件的日志服務(wù)器2和安全固件3三部分。配置服務(wù)器I通過(guò)串口線與安全固件3相連接，日志服務(wù)器2通過(guò)網(wǎng)線與安全固件3相連接。
[0020]配置服務(wù)器I負(fù)責(zé)產(chǎn)生數(shù)據(jù)檢測(cè)規(guī)則，最終發(fā)送給安全固件3。日志服務(wù)器2負(fù)責(zé)接收安全固件3傳來(lái)的日志信息，并進(jìn)行分析，發(fā)現(xiàn)不安全通訊可進(jìn)行報(bào)警。安全固件3的A端與內(nèi)網(wǎng)網(wǎng)絡(luò)連接，B端與外網(wǎng)網(wǎng)絡(luò)連接。內(nèi)外網(wǎng)所有通訊必須經(jīng)過(guò)安全固件3，且不符合安全規(guī)則的通訊將不被允許。
[0021]如圖4，所述安全固件3包括內(nèi)網(wǎng)主機(jī)板13、外網(wǎng)主機(jī)板14和雙端口數(shù)據(jù)通道15，還包括用于為安全固件3供電的冗余電源系統(tǒng)16。內(nèi)網(wǎng)主機(jī)板13和外網(wǎng)主機(jī)板14分別通過(guò)PCIE總線17與雙端口數(shù)據(jù)通道15相連接。雙端口數(shù)據(jù)通道15上有一個(gè)作為可編程器件18的FPGA，用于模擬實(shí)現(xiàn)雙口 RAM功能。
[0022]所述安全固件3還包括如圖2所示的后面板，該后面板上設(shè)置有三個(gè)A端以太網(wǎng)通訊口 7-2、三個(gè)B端以太網(wǎng)通訊口 7-1，以及A、B端各兩個(gè)串口 8。
[0023]該后面板上還設(shè)置有主電源開(kāi)關(guān)5和備電源開(kāi)關(guān)6。
[0024]所述安全固件3還包括如圖3所示的前面板，該前面板上設(shè)置有三個(gè)A端以太網(wǎng)通訊口指示燈11-1和三個(gè)B端以太網(wǎng)通訊口指示燈11-2。
[0025]該前面板上還設(shè)置有電源指示燈9、雙電源指示蜂鳴器10及運(yùn)行指示燈12。
[0026]單電源供電時(shí)，蜂鳴器會(huì)10鳴叫。雙電源供電時(shí)，蜂鳴器10無(wú)鳴叫。主電源打開(kāi)時(shí)，電源指示燈9顯示綠色。僅備電源打開(kāi)時(shí)，電源指示燈9滅。A、B端正常運(yùn)行時(shí)，運(yùn)行指示燈12亮。各以太網(wǎng)通訊口正常連接使用時(shí)，對(duì)應(yīng)以太網(wǎng)通訊口指示燈11亮。
[0027]所述的A端以太網(wǎng)通訊口 7-2通過(guò)數(shù)據(jù)線與內(nèi)網(wǎng)主機(jī)板13相連接，B端以太網(wǎng)通訊口 7-1通過(guò)數(shù)據(jù)線與外網(wǎng)主機(jī)板14相連接。
[0028]所述的串口 8配置服務(wù)器I相連接。
[0029]所述的A端以太網(wǎng)通訊口 7-2還與所述日志服務(wù)器2相連接。
[0030]本系統(tǒng)支持內(nèi)外網(wǎng)數(shù)據(jù)的雙向通訊。以內(nèi)(A端)向外(B端)通訊為例。數(shù)據(jù)從內(nèi)網(wǎng)傳來(lái)，從某個(gè)A端以太網(wǎng)通訊口 7-2流入，經(jīng)過(guò)內(nèi)網(wǎng)主機(jī)板13的規(guī)則檢測(cè)，通過(guò)PCIE總線17送至雙端口數(shù)據(jù)通道15。B端可依據(jù)FPGA的邏輯對(duì)A端發(fā)送過(guò)來(lái)的數(shù)據(jù)進(jìn)行讀取，并最終發(fā)往外網(wǎng)。
[0031]每個(gè)主機(jī)板上都有獨(dú)立的CPU、內(nèi)存及硬盤(pán)。數(shù)據(jù)檢測(cè)規(guī)則靜態(tài)存儲(chǔ)在硬盤(pán)上，可通過(guò)串口 8對(duì)檢測(cè)規(guī)則進(jìn)行修改。數(shù)據(jù)檢測(cè)規(guī)則可依據(jù)主機(jī)IP、MAC及通訊協(xié)議等進(jìn)行定義。
[0032]安全固件3運(yùn)行過(guò)程中產(chǎn)生的日志信息通過(guò)A端以太網(wǎng)通訊口 7-2發(fā)至日志服務(wù)器2。
[0033]各以太網(wǎng)通訊口的用途可以自定義。
【主權(quán)項(xiàng)】
1.面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，其特征在于:它包括配置服務(wù)器(1)、日志服務(wù)器(2)和安全固件(3)三部分；配置服務(wù)器(I)通過(guò)串口線與安全固件(3)相連接，日志服務(wù)器(2)通過(guò)網(wǎng)線與安全固件(3)相連接。
2.如權(quán)利要求1所述的面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，其特征在于:所述安全固件(3)包括內(nèi)網(wǎng)主機(jī)板(13)、外網(wǎng)主機(jī)板(14)和雙端口數(shù)據(jù)通道(15)，內(nèi)網(wǎng)主機(jī)板(13)和外網(wǎng)主機(jī)板(14)分別通過(guò)數(shù)據(jù)線與雙端口數(shù)據(jù)通道(15)相連接；所述安全固件(3)還包括后面板，該后面板上設(shè)置有A端以太網(wǎng)通訊口(7-2)和B端以太網(wǎng)通訊口(7-1)，并設(shè)置有串口(8);所述安全固件(3)還包括前面板，該前面板上設(shè)置有A端以太網(wǎng)通訊口指示燈(11-1)和B端以太網(wǎng)通訊口指示燈(11-2);所述的A端以太網(wǎng)通訊口( 7-2)通過(guò)數(shù)據(jù)線與內(nèi)網(wǎng)主機(jī)板(13)相連接，B端以太網(wǎng)通訊口(7-1)通過(guò)數(shù)據(jù)線與外網(wǎng)主機(jī)板(14)相連接；所述的串口(8)與配置服務(wù)器(I)相連接。
3.如權(quán)利要求2所述的面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，其特征在于: 所述的后面板上還設(shè)置有主電源開(kāi)關(guān)(5)和備電源開(kāi)關(guān)(6)。
4.如權(quán)利要求2所述的面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，其特征在于:所述的前面板上還設(shè)置有電源指示燈(9)、雙電源指示蜂鳴器(10)及運(yùn)行指示燈(12)。
5.如權(quán)利要求2或3或4所述的面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，其特征在于:所述的A端以太網(wǎng)通訊口(7-2)還與所述日志服務(wù)器(2)相連接。
6.如權(quán)利要求2或3或4所述的面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，其特征在于:所述的雙端口數(shù)據(jù)通道(15)上有一個(gè)用于模擬實(shí)現(xiàn)雙口 RAM功能的可編程器件(18)。
【專利摘要】本實(shí)用新型是一種面向工業(yè)現(xiàn)場(chǎng)設(shè)備環(huán)境的邊界安全專用網(wǎng)關(guān)系統(tǒng)，它包括配置服務(wù)器、日志服務(wù)器和安全固件三部分；配置服務(wù)器通過(guò)串口線與安全固件相連接，日志服務(wù)器通過(guò)網(wǎng)線與安全固件相連接。能夠?qū)崿F(xiàn)主機(jī)與主機(jī)之間、主機(jī)與網(wǎng)絡(luò)之間、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的隔離；能夠?qū)νㄓ嵭畔⑦M(jìn)行記錄；能夠?qū)Ξ惓Ｐ畔⑦M(jìn)行分析并產(chǎn)生必要告警信息。最終保障工控系統(tǒng)信息安全。
【IPC分類】H04L12-66, H04L29-06
【公開(kāi)號(hào)】CN204334623
【申請(qǐng)?zhí)枴緾N201520034052
【發(fā)明人】張青山, 劉岳崇, 張瑩瑩, 吳冬梅, 侯志光, 張宗杰
【申請(qǐng)人】東方電子股份有限公司
【公開(kāi)日】2015年5月13日
【申請(qǐng)日】2015年1月19日